Cyber crime IoT

Europese standaardenclub introduceert security-richtlijnen voor consumenten-IoT

by Redactie IoT Journaal25 februari 2019

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, heeft een reeks technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij gaat het niet alleen om leveranciers van hard- en software. Volgens de non-profit club moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan kunnen profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

De standaardisatieclub heeft in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid.

Initiatieven Nederlandse overheid

Staatssecretaris Mona Keijzer (ministerie van Economische Zaken en Klimaat) heeft in  oktober 2018 aan de Tweede Kamer beloofd dat zij de Europese Commissie aan zou sporen om tot een keurmerk te komen voor Internet of Things-producten voor consumenten. Tot dusver zijn daar echter geen concrete resultaten van te zien geweest. De toezegging van staatssecretaris Keijzer staat in een brief ‘Consumentenagenda: houvast bij voortdurende verandering’ (te downloaden via IoTJournaal.nl, 9 pagina’s, 237 Kb, PDF). Zij schetst in het schrijven diverse manieren om tot een grotere consumentenbescherming te komen als het gaat om IoT-producten. Naast een ‘keurmerk’, ziet de bewindsvrouw ook een rol voor ‘samenwerkingsverbanden, zoals de Abuse Information Exchange‘. Dat laatste zou volgens haar ‘een rol kunnen spelen om gebruikers van besmette IoT-apparaten te bereiken zodat besmettingen kunnen worden opgeschoond’. Verder blijft de Nederlandse regering in de onderhandelingen in Brussel aan op snelle vaststelling van de Cybersecurity Act (CSA) en een voortvarende ontwikkeling van een Europees raamwerk Beveiligingscertificering voor ICT-producten en –diensten (bijvoorbeeld clouddiensten).

‘Doeltreffende bescherming’

Staatssecretaris Keijzer: “Het uitgangspunt is wat mij betreft echter helder: consumenten moeten ook in een digitale economie doeltreffend beschermd worden. Dat betekent bijvoorbeeld dat software-updates niet de kernfunctionaliteiten van een apparaat mogen veranderen of essentiële functionaliteiten onbruikbaar mogen maken. Ook moeten consumenten duidelijk geïnformeerd worden over de ondersteuning die zij na aankoop mogen verwachten van de verkoper of een derde partij en moeten ze weten bij wie ze hun recht kunnen halen in geval van problemen.”